最新文章:

首页 信息安全

WireShark黑客发现之旅–开篇

发布时间:2015年07月21日 评论数:抢沙发 阅读数:1217

    一看题目,很多朋友就会有疑问:市面上那么多的安全监控分析设备、软件,为什么要用WireShark来发现黑客和攻击行为?我想说的是WireShark目前作为最优秀的网络分析软件,如果用好了,比任何设备、软件都Nice。首先,它识别的协议很多;其次,WireShark其实具备很多分析功能;最主要的,它免费,既能采集又能分析,不丢包、不弃包。

    我们虽然也接触了很多监控分析设备,但在分析中始终离不开WireShark的辅助,喜欢它的“诚实”,不忽悠、不遗漏,完完全全从原理上去认识数据。

    本系列就是要抛开了各种所谓分析“神器”和检测设备,完全依靠WireShark从通信原理去发现和解密黑客的各种攻击行为。当然,仅是交流学习贴,不当之处请各位大神“轻喷”。

    0×01 WireShark的常用功能


    介绍WireShark的书籍和文章比较多,本文就不献丑细讲了,一起了解一下部分常用的分析功能。

    1、抓包捕获

    菜单中选择Capture,选择Interface,然后选择需抓包的网卡。

    WireShark黑客发现之旅--开篇

    WireShark黑客发现之旅--开篇

    可以勾选网卡,点击Start开始抓包。如想连续抓包设置文件大小、定义存放位置、过滤性抓包,点击Options进行设置。

    2、数据过滤

    由于抓包是包含网卡所有业务通信数据,看起来比较杂乱,我们可以根据需求在Filter对话框中输入命令进行过滤。常用过滤包括IP过滤(如:ip.addr==x.x.x.x,ip.src== x.x.x.x,ip.dst== x.x.x.x)、协议过滤(如:HTTP、HTTPS、SMTP、ARP等)、端口过滤(如:tcp.port==21、udp.port==53)、组合过滤(如:ip.addr==x.x.x.x && tcp.port==21、tcp.port==21 or udp.port==53)。更多过滤规则可以在Expression中进行学习查询。

    3、协议统计、IP统计、端口统计

    WireShark黑客发现之旅--开篇

    协议统计:在菜单中选择Statistics,然后选择Protocol Hierarchy,就可以统计出所在数据包中所含的IP协议、应用层协议。 IP统计:在菜单中选择Statistics,然后选择Conversation,就可以

    WireShark黑客发现之旅--开篇

    统计出所在数据包中所有通信IP地址,包括IPV4和IPV6。

    WireShark黑客发现之旅--开篇

    端口统计:同IP统计,点击TCP可以看到所有TCP会话的IP、端口包括数据包数等信息,且可以根据需求排序、过滤数据。UDP同理。

    4、搜索功能

    WireShark具备强大的搜索功能,在分析中可快速识别出攻击指纹。Ctrl+F弹出搜索对话框。

    Display Filter:显示过滤器,用于查找指定协议所对应的帧。

    Hex Value:搜索数据中十六进制字符位置。

    String:字符串搜索。Packet list:搜索关键字匹配的Info所在帧的位置。Packet details:搜索关键字匹配的Info所包括数据的位置。Packet bytes:搜索关键字匹配的内容位置。

    WireShark黑客发现之旅--开篇

    WireShark黑客发现之旅--开篇

    5、Follow TCP Stream

    对于TCP协议,可提取一次会话的TCP流进行分析。点击某帧TCP数据,右键选择Follow TCP Stream,就可以看到本次会话的文本信

    WireShark黑客发现之旅--开篇

    息,还具备搜索、另存等功能。

    6、HTTP头部分析

    对于HTTP协议,WireShark可以提取其URL地址信息。

    WireShark黑客发现之旅--开篇

    以过滤IP),就可以统计出HTTP会话中请求、应答包数量。 在菜单中选择Statistics,选择HTTP,然后选择Requests(可以过滤IP),就可以统计出HTTP会话中Request的域名,包括子域名。

    WireShark黑客发现之旅--开篇

    在菜单中选择Statistics,选择HTTP,然后选择Load Distribution(可以过滤IP),就可以统计出HTTP会话的IP、域名分布情况,包括返回值。

    0×02 WireShark分析攻击行为步骤


    利用WireShark分析攻击行为数据,首先得具备一定的网络协议

    WireShark黑客发现之旅--开篇

    知识,熟悉常见协议,对协议进行分层(最好分七层)识别分析。(如果不熟悉也没关系,现学现用也足够)。然后,需熟悉常见的攻击行为步骤、意图等等。画了张图,不太完善,仅作参考。

    WireShark黑客发现之旅--开篇

    0×03 后续文章初步设计


    对于后续文章内容,初步设计WireShark黑客发现之旅–暴力破解、端口扫描、Web漏洞扫描、Web漏洞利用、仿冒登陆、钓鱼邮件、数据库攻击、邮件系统攻击、基于Web的内网渗透等。但可能会根据时间、搭建实验环境等情况进行略微调整。 (By:Mr.Right、K0r4dji)

二维码加载中...
本文作者:Mr.linus      文章标题: WireShark黑客发现之旅–开篇
本文地址:http://www.90qj.com/209  百度暂未收录本文
版权声明:若无注明,本文皆为“挨踢 Blog”原创,转载请保留文章出处。
挤眼 亲亲 咆哮 开心 想想 可怜 糗大了 委屈 哈哈 小声点 右哼哼 左哼哼 疑问 坏笑 赚钱啦 悲伤 耍酷 勾引 厉害 握手 耶 嘻嘻 害羞 鼓掌 馋嘴 抓狂 抱抱 围观 威武 给力
提交评论

清空信息
关闭评论